fail2ban
не отслеживает сокеты unix; он работает только с лог-файлами. Обоснование, вероятно, таково:
ведение журнала простое: вы можете не только войти в пользовательский файл, но и подключиться к системному журналу / журналу с очень небольшими усилиями;
журналы в виде простого текста очень удобны, когда вы создаете / проверяете пользовательский fail2ban regex / rules;
сокеты unix могут использоваться для множества коммуникационных протоколов, в то время как простой файл журнала очень «прямолинейен» в отношении своего содержимого и правил формата;
наконец, в журнале слов * nix в основном выполняется со стандартными текстовыми файлами. Зачем отклоняться от такого (хорошего!) Поведения?